Für Banken und Finanzdienstleister sind die IT-Sicherheit und Schutz vor (Online-)Betrug von herausragender Bedeutung. So stellen Cybervorfälle laut dem Allianz Global Corporate & Specialty Report von 2021 das größte Risiko für den Finanzdienstleistungssektor dar. Angesichts dessen ist es nicht verwunderlich, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die BaFin regelmäßig vor Cyberrisiken warnen und geeignete Gegenmaßnahmen anmahnen. Aber hier zeigt sich ein grundsätzliches Problem: Viele Banken, Versicherungen und Vermögensverwaltungen sind mit der Umsetzung ihrer IT-Security-Strategie überfordert. Dies betrifft vor allem die Verfügbarkeit von Security Experten, die für den Aufbau einer Inhouse-Lösung erforderlich sind.
Daher setzen zahlreiche Unternehmen auf einen Managed Security Service Provider (MSSP), der auch den Betrieb von Security Information and Event Management (SIEM) und Security Operations Center (SOC) übernimmt. Eine große Schwierigkeit für die Sicherheitsteams besteht oft darin, dass Angriffe zu spät erkannt werden. Unter IT-Sicherheitsexperten hat sich die von Lockheed Martin entwickelte „Cyber Kill Chain“ etabliert, um sieben verschiedene Phasen eines Angriffs auf IT-Systeme zu beschreiben. Zwischen einzelnen Schritten eines Angriffs können Minuten, aber auch Wochen oder gar Monate vergehen.
Über TURBINE
Swimlanes mehrfach ausgezeichnete Low-Code Security Automation Plattform TURBINE bietet Unternehmen mehr Möglichkeiten als herkömmliche SOAR-Lösungen. Dank umfangreicher Schnittstellen lassen sich nahezu alle Systeme anbinden, was die Effektivität eines SOCs deutlich steigert. Kunden sparen mit Swimlane Turbine in der Regel bis zu 150.000 Euro im Monat. SECUINFRA, Spezialist für die Erkennung, Analyse und Abwehr von Cyberangriffen, betreut als Partner von Swimlane Banken als MSSP und bietet einen 24/7-Support.
Informationen unter www.secuinfra.com/contact.
Angriffe früh erkennen
Höchstes Ziel bei der Abwehr ist es also, Angriffe so früh wie möglich zu erkennen und geeignete Gegenmaßnahmen einzuleiten. Denn wird ein Angriff erst erkannt, nachdem alle Phasen durchlaufen wurden, ist es schon zu spät. Um diesem Problem und der Gefahr von Fehlinterpretationen zu begegnen, die Resilienz gegen Angriffe zu erhöhen und die Informationssicherheit zu stärken, haben sich in den letzten Jahren SOAR-Systeme (Security Orchestration Automation Response) etabliert. Orchestration beschreibt die Fähigkeit, verschiedene Werkzeuge unter einer Oberfläche zu vereinen. Bei Automation geht es um die Fähigkeit von Prozessen, während Response die Möglichkeit beschreibt, Gegenmaßnahmen zu automatisieren oder auf Knopfdruck auszulösen. Ein modernes SOAR-System bietet nicht nur enorme Flexibilität, es bringt außerdem eine tiefgehende Unterstützung und Integration für spezialisierte Produkte und Anwendungsfälle mit.
Mit einem SOAR können hochkomplexe Prozesse automatisiert werden – es stellt also ein mächtiges Werkzeug für die Informationssicherheit dar, mit dem Analysten alle relevanten Informationen und Maßnahmen unter einer Oberfläche bereitstellen. So bieten beispielsweise SOAR-Produkte wie Turbine von Swimlane bereits von Haus aus eine nahtlose Integration von Kount, einem auf die Finanzbranche spezialisiertem Anti-Fraud-Produkt von Equifax. Ein SIEM kann durch SOAR sinnvoll erweitert werden, um alle Gefahrenquellen abzudecken und vor allem aus der Vielzahl der Meldungen die relevanten sofort zu erfassen und zeitnah zu reagieren. In der Praxis könnte das so aussehen, dass in einem SOAR alle Systeme zusammenlaufen und dort aufkommende Ereignisse mit zusätzlichen Daten angereichert werden. Auf dieser Basis können Security-Teams einfacher auf Alerts reagieren. Dies kann sogar teilautomatisiert werden, damit die Spezialisten in den SOC sich nur um die wirklich kritischen Ereignisse kümmern müssen.
Kluge Investitionen in die Sicherheit
Bei allen Finanzinstituten hat die IT-Sicherheit eine hohe Priorität. Können Angreifer etwa Daten stehlen, führt dies schnell zu Betrugsfällen. Kann ein SOC aufgrund fehlender Fachkräfte nicht inhouse aufgebaut werden oder keine vollumfängliche Abdeckung bieten, sind externe Managed Securtiy Service Provider (MSSP) eine gute Alternative oder Ergänzung. Bevor Banken sich für einen MSSP entscheiden, müssen sie jedoch sicherstellen, dass dieser über geeignete Schnittstellen und Tools alle relevanten Daten verarbeiten kann. Basis ihrer Arbeit ist ein SIEM-System, das alle sicherheitsrelevanten Logdaten zusammenfasst und analysiert. Insbesondere im Bankenbereich kann ein SOAR eine sinnvolle Ergänzung sein. Durch dieses werden SOC in die Lage versetzt, auch sehr große Ereignismengen zu bewältigen und mit hoher Qualität zu bearbeiten.
Alexander Schaum
SECUINFRA GmbH
Alexander Schaum ist Senior Cyber Defense Consultant bei SECUINFRA und mehrfach zertifizierter Swimlane-Experte.
